GDPR
Co je GDPR Maturity Assessment?
GDPR Maturity Assessment cílí na rychlé zhodnocení úrovně zralosti organizace v oblasti ochrany osobních údajů v její každodenní praxi. Zkoumá implementovaný systém, detekuje nedostatky, navrhuje účinná opatření a eliminuje tak hrozbu vysokých sankcí.
Během dvoudenního auditu společně ověříme, zda je váš systém správně implementován. V případě zjištěných pochybení navrhneme nápravná opatření. Ta jsou pak, spolu s dokumentovaným průběhem a výsledky auditu, součástí závěrečné zprávy. Nakonec vše osobně odprezentujeme odpovědným vedoucím pracovníkům v rámci společného půldenního workshopu s účastí našich GDPR expertů.
To je ve zkratce GDPR Maturity Assessment. Aktivita v rozsahu několika málo dnů, která vám poskytne jistotu. Jistotu, že je váš systém správně implementován tak, abyste dokázali zajistit shodu s požadavky GDPR ve vaší každodenní praxi. A pokud správě implementován není, tak abyste měli jistotu, že přesně víte, jaké všechny máte nedostatky. A jak je odstranit, tak, abyste byli ve shodě s požadavky GDPR v co nejkratším čase a plnili si tak své zákonné povinnosti bez hrozby sankcí.
Potřebujete více informací?
NAPIŠTE NÁM. JE TO TAK SNADNÉ.
Pokud si potřebujete připomenout některé základní informace k tématu GDPR, naleznete je ve stručném souhrnu níže. Spolu s informacemi, jak Vám s tímto tématem můžeme konkrétně pomoci a proč v tomto spolupracovat zrovna s naší společností IDS Advisory.
- Co je to GDPR
- Koho se GDPR týká
- Jaké jsou pokuty při nedodržení nařízení
- Jaké jsou hlavní povinnosti vyplývající z GDPR
- Kdo je odpovědný za splnění všech požadavků GDPR
- Co je třeba udělat, kde začít a jak Vám může IDSA pomoci
- Proč spolupracovat s IDSA
Co je to GDPR?
General Data Protection Regulation. Nařízení Evropského parlamentu a Rady EU 2016/679 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů.Reguluje zpracování osobních údajů fyzických osob. Do stávajících systémů ochrany osobních dat zavádí celou řadu nových povinností a zásadním způsobem zpřísňuje pravidla jejich správy.
Koho se GDPR týká?
Nařízením GDPR se musí řídit všechny subjekty, které jsou správci a zpracovatelé osobních dat. Vymezení pojmu osobních dat je přitom poměrně široké a zahrnuje např. i technické údaje typu e-mailová adresa, IP adresa, cookies, aj.
GDPR se tak dotýká velmi širokého okruhu jak komerčních subjektů, tak i orgánů státní správy nebo samosprávy nebo jimi zřizovaných organizací. Všech, kteří pracují s osobními údaji občanů EU. Stejně tak i samotných občanů EU, kteří se mohou nyní velmi účinně bránit proti neoprávněnému zacházení s jejich osobními daty.
GDPR se týká nás všech.
Jaké jsou pokuty při nedodržení nařízení?
- Až 20 milionů EUR
- Jedná-li se o podnik, až 4 % celkového ročního
obratu celosvětově za předchozí finanční rok
Z výše uvedených možností bude vždy vybrána ta, která znamená vyšší pokutu.
Navíc hrozí riziko soukromoprávních žalob na náhradu majetkové či nemajetkové újmy.
Jaké jsou hlavní povinnosti vyplývající z GDPR?
- Provádět analýzu rizik posouzení dopadu činnosti na ochranu osobních údajů
- Spolupracovat s Úřadem pro ochranu osobních údajů (ÚOOÚ)
- Vést záznamy o zpracováních osobních údajů
- Včas detekovat, analyzovat a ohlašovat případy narušení bezpečnosti
- Jmenovat pověřence ochrany osobních údajů – Data Protection Officer (DPO)
- Zajistit práva fyzických osob (právo být zapomenut, právo na přenositelnost,
právo přístupu)
V praxi to znamená provedení celé řady systémových změn uvnitř organizace.
Navíc pro mnoho komerčních subjektů, které jsou certifikovány podle mezinárodních standardů, například ISO 9001, ISO 27001, aj., to znamená provedení revize stávajících systémů řízení.
Kdo je odpovědný za splnění všech požadavků GDPR?
Nejvyšší vedení každé organizace.
V případě selhání při zajištění shody s požadavky GDPR, hrozí tzv. „odpovědným osobám“
i trestněprávní odpovědnost dle zákona č. 418/2011 Sb., o trestní odpovědnosti právnických osob a řízení proti nim (ve znění novely č. 183/2016 Sb.)
Odpovědnou osobou jsou dle tohoto zákona:
- statutární orgán nebo člen statutárního orgánu
- ten, kdo vykonává rozhodující vliv
- zaměstnanec nebo osoba ve vedoucím postavení
Co je třeba udělat a kde začít?
- Ještě jste nezačli?
Lepší pozdě, než vůbec! Seznamte se s problematikou GDPR co nejdříve.
- Začli jste, ale nedopadlo to?
Máte pochybnosti, zda jste opravdu ve shodě se všemi požadavky GDPR? Pak přejděte rovnou na následující krok. Podíváme se společně, co je špatně a jak to napravit.
Jak Vám může IDSA pomoci?
- GDPR workshop
- Příprava re-implementace GDPR
Naše zkušenosti ukazují, že i tam, kde byla implementace GDPR provedena, není často provedena správně. Nehledejme, zda je příčinou této nekvality nedostatek kapacit, času nebo kompetencí interního či externího týmu. Pojďme to vyřešit. Pomůžeme Vám rychle analyzovat nedostatky a navrhnout adekvátní opatření.
- Uvědomit si, KDE jsme nyní a co nám chybí, CO, KDO a KDY musí udělat, abychom se dostali k cílovému stavu a KOLIK nás to vše bude stát.
- GDPR Maturity Assessment
Analýza stávajícího stavu souladu
s GDPR, identifikace případných nedostatků, návrh opatření (roadmapa) a doporučení postupu pro zajištění shody včetně vyčíslení nákladů.
- Jmenovat pověřence ochrany osobních údajů (DPO - Data Protection Officer).
- Zajištění externího DPO
Náš certifikovaný konzultant poskytne Vašemu internímu DPO podporu nebo může jeho roli dočasně či trvale zcela převzít.
- Implementovat GDPR v oblasti procesní, organizační, smluvní a technické (ICT technologie), včetně proškolení vybraných zaměstnanců.
- Odborné kompetence a SW podpora
Tým zkušených expertů poskytuje konzultační, metodickou, právní a ICT podporu spolu s dodávkou software pro řízení rizik a auditů.
- Auditovat, auditovat, auditovat...
Eliminujte riziko sankcí na minimum. Vedle průběžných interních auditů nastavte již při implementaci GDPR i systém pravidelných externích auditů. Ty vám pomohou udržet nezávislost při rozhodování a poskytnou
objektivní zpětnou vazbu pro DPO.
V případě kontroly, či konfrontace ze strany ÚOOÚ, jsou výstupy
z certifikovaného auditu
pro kontrolovanou organizaci významný „důkazní materiál“. Budete tak schopni prokázat, že jste udělali vše proto,
aby systém fungoval. To pak velmi oceníte zejména tehdy, kdy by
v praxi cokoliv selhalo při zajištění shody s GDPR.
- GDPR Audit
Pravidelně, zpravidla 1x ročně, provádíme certifikační audit.
Výstupní zpráva identifikuje rizikové oblasti, způsoby vypořádání se, výsledky realizovaných opatření a další užitečné informace pro neustálé zlepšování implementovaného GDPR systému.
V případě shody je certifikační audit potvrzen certifikátem shody.
Externí audit je ochranou před „provozní slepotou“. Zároveň pomáhá udržet krok s regulačními novelami. Poskytuje tak garanci, že celý systém je neustále provozován v efektivním režimu.
Proč spolupracovat s IDS Advisory?
Dlouhodobě se věnujeme implementacím integrovaných systémů řízení. Procesní řízení hraje v našem přístupu zásadní roli coby klíčový integrační element všech těchto systémů. Žijeme procesy.
A celé GDPR je především o správně nastavených a fungujících procesech.
O procesech propojených na organizační struktury, lidské zdroje, externí či interní požadavky (nařízení, směrnice, zákony, normy, aj.), data, informační systémy, které data spravují a infrastrukturu, na které jsou tyto systémy provozovány.
Garantem za procesní oblast je zkušený konzultant a certifikovaný DPO (Data Protection Officer), Ing. Vilém Umlauf.
Legislativně právní rámec garantuje špičkový právní expert, zapsaný mediátor a lektor České advokátní komory pro oblast ochrany osobních údajů. Tento advokát je též členem expertního týmu rozkladové komise Úřadu na ochranu osobních údajů a má zkušenosti i s funkcí člena tribunálu mezinárodního arbitrážního soudu ICC v Paříži.
Oba garanti jsou zkušení praktici, kteří již mají za sebou řadu úspěšných GDPR projektů.
S námi máte jistotu, že GDPR postihnete v celé jeho obrovské komplexnosti.
Nevidíme pouze špičku pomyslného ledovce, jež skýtají pohledy čistě právní nebo technické. Společně odkryjeme vše podstatné, co se skrývá pod hladinou.
„I kdybychom dnes firmám prodali všechny naše technologie, ochráníme je v rámci GDPR maximálně v rozsahu 5 procent. Na prvním místě jsou totiž skutečně procesy, technologie jsou až za nimi."
přiznává Marek Bražina, Systems Engineer společnosti VMware
Zaujalo Vás toto téma?
Potřebujete více informací?
NAPIŠTE NÁM. JE TO TAK SNADNÉ.
Byly pro Vás tyto informace užitečné? Sdílejte je na Facebooku.